Mozillla確認近日傳出的CPU漏洞Meltdown和Spectre， 不需要使用者執行本地的程式碼，只要上網瀏覽， 就可能經由網頁載入和執行的JS而受到攻擊， 證實了使用者最擔憂發生的情形。 由於這些漏洞的資訊在去年已經分享給Mozilla， 所以去年推出的Firefox 57版已經針對這些漏洞提出緩解。 由於利用這些漏洞的攻擊需要仰賴精確的時間差來偵測快取的內容， 所以Fx57暫時的緩解是降低了幾個時鐘源的精度， 例如performance.now()、將SharedArrayBuffer預設停用。 這些暫時的緩解不能完全解決bug， 但是可以有效的妨礙利用這些漏洞的攻擊成功的獲取正確的資訊。 Mozilla表示他們在試驗新的緩解技術，可以徹底消除資訊的洩漏。 而Google Chrome預計將會在1月23號發行的v64版推送這些漏洞的緩解， 在那之前，Google建議使用者啟用v63版的Strict Site Isolation功能， 這個功能可以隔離非同源的網頁撈取其他分頁的資訊， 避免儲存在其他網站資訊洩漏。 來源： https://www.bleepingcomputer.com/news/security/mozilla-confirms-web-based-execution-vector-for-meltdown-and-spectre-attacks/ https://goo.gl/EpUfpM -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.81 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1515090169.A.7A8.html